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Introduccion 


[- tecnologias de virtualizaci6n se estan adoptando a una 
velocidad tremenda hoy en dia. Aunque los beneficios de 
la virtualizaci6n superan sus retos, si que acarrea problemas 
significativos en el ambito de la TI. 


Puede que el principal problema de la virtualizacion resida 

en la creencia de que la tecnologia de seguridad tradicional 
funciona igual en un entorno virtual que en uno fisico. En la 
actualidad, los sistemas virtuales, al igual que los sistemas fisicos 
dedicados, forman parte de la mezcla de entornos informaticos 
que normalmente encontramos en muchas empresas. Los 
departamentos de TI han de gestionar entornos informaticos 
mixtos o hibridos, compuestos de plataformas virtuales y fisicas. 


A medida que nos volvemos mas dependientes de la virtualizaci6n, 
nos vemos obligados a fijarnos (ojala que sin sorpresas 
desagradables) en las limitaciones intrinsecas de diseno que tienen 
las soluciones de seguridad tradicionales a la hora de ser aplicadas 
a sistemas virtualizados. 


Como la aparicion de la nube ha acaparado mucha atenci6n 
durante los ultimos afios, es necesario que entendamos bien 
cémo funciona la seguridad en los entornos de la nube. Muchas 
organizaciones Ilegan a la peligrosa conclusi6n de que sus datos 
estan tan seguros en la nube como en su propio centro de datos, 
y que no tienen que hacer nada especial para garantizar la 
existencia de un nivel aceptable de seguridad. La realidad puede 
llegar a ser bastante distinta. El problema no es que el entorno de 
la nube no esté protegido por el proveedor; lo que pasa es que 
tus datos, a no ser que ese proveedor y tt hayais llegado a algtin 
arreglo especial, no estan necesariamente protegidos contra la 
exposici6n que supone el alojamiento en una nube que comparten 
multitud de inquilinos. Como usuario, no conoces a los otros 
inquilinos que manejan sus aplicaciones virtuales en la misma 
maquina anfitriona que tt, ni sabes si tus datos se almacenan en 
un dispositivo de almacenamiento compartido con otro grupo de 
residentes desconocidos. Tampoco sabes a quién pueden estar 
permitiendo el acceso asus datos esos otros residentes, justo en 
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el mismo dispositivo de almacenamiento que comparten contigo. 
Y la cruda realidad es que no puedes controlar todos esos factores. 


Los proveedores de la nube se afanan para que sus entornos sean 
seguros, pero recuerda que las directivas que establecen (por 
ejemplo, las reglas de cortafuegos) permiten a miles de clientes 
acceder a sus sistemas regularmente, por lo que es probable que 
dichas reglas no respondan a tus preocupaciones sobre seguridad 
de datos. Asi que te corresponde a ti determinar si esas directivas 
sirven para proteger tus datos de manera satisfactoria. De no ser 
asi, debes asegurarte de que aplicas mecanismos de seguridad que 
se ajusten a tus necesidades en todo entorno de nube compartido. 


Acerca de este libro 


Este libro examina los retos de seguridad de la virtualizaci6n 

en el centro de datos, en el puesto de trabajo y en la nube. En él 
explico por qué es un error utilizar en sistemas virtuales productos 
de seguridad tradicionales, creados para proteger sistemas 

fisicos. Por ultimo, te muestro como las soluciones de seguridad 
compatibles con el entorno virtual proporcionan seguridad total, 
sin afectar al rendimiento, en los entornos virtuales, de nube e 
hibridos, los que incluyen una mezcla de sistemas virtuales y 
fisicos. 


Suposiciones insensatas 


En primer lugar, doy por hecho que sabes algo sobre la 
virtualizaci6n de servidor y de escritorio y, quiza, también 
alguna que otra cosa sobre seguridad. Este libro ha sido escrito 
principalmente para lectores técnicos que estan evaluando 
soluciones de seguridad para un entorno virtual 0 mixto (fisico y 
virtual). 


Aunque muchos de los términos y conceptos presentados en 
este libro hacen referencia a la tecnologia de virtualizaci6n en 
general, doy por sentado que tienes interés principalmente en 
las soluciones de virtualizaci6n de VMware, Microsoft y Citrix, 
por lo que me centro en dichas soluciones (con mis disculpas 
a IBM, Oracle y los proveedores de otras muchas soluciones de 
virtualizaci6n disponibles en la actualidad). 


Por ultimo, supongo que la mayoria de las organizaciones ya han 


intentado proteger sus sistemas virtuales usando las mismas 
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herramientas, de manera mas o menos parecida, que utilizaron 

en sus sistemas fisicos. Muchos profesionales informaticos dan 
por sentado, equivocadamente, que los sistemas virtuales son 
basicamente iguales, o que funcionan de manera bastante parecida 
alas maquinas fisicas, por lo que acaban implementando en 

sus nuevos entornos virtuales las herramientas de seguridad y 
gestion que ya poseen, con resultados decepcionantes o incluso 
catastroficos. 


Como esta organizado este libro 


Este libro constituye una fuente de conocimiento virtualmente 
(como no!) inagotable. Todo ese saber ha sido embutido en cinco 
breves capitulos, que te ofrecen solamente la informaci6n que 
necesitas. Echemos un breve vistazo a lo que te espera en las 
paginas que se avecinan: 


Capitulo 1: Entornos virtuales. Empiezo explicando c6mo 
funciona la tecnologia de virtualizacion, algunos de los 
principales beneficios que la virtualizaci6n ofrece a las 
organizaciones y algunos retos empresariales relacionados 
con los entornos virtuales. 


Capitulo 2: Seguridad del servidor virtual. A continuaci6n, 
te cuento algunos de los retos de seguridad especificos a los 
que debes enfrentarte en un centro de datos virtualizado. 


Capitulo 3: Seguridad de la infraestructura de escritorio 
virtual (VDI). En este capitulo, explico algunos de los retos 
de seguridad de la virtualizaci6n de escritorio y c6mo la VDI 
puede ayudarte a proteger datos en el contexto del BYOD. 


¥ Capitulo 4: Las soluciones de seguridad de Trend Micro 
compatibles con el entorno virtual. Aqui aprenderas algo 
sobre la soluci6n Deep Security de Trend Micro, compatible 
con el entorno virtual, que protegera el tuyo. 


¥ Capitulo 5: Diez funciones importantes que hay que buscar 
en una soluci6n de seguridad para el entorno virtual. 
Seguidamente, en el clasico estilo de Para Dummies, te paso 
una lista de comprobaci6n para cuando tengas que evaluar 
soluciones de seguridad para tu entorno virtual. 


 Apéndice: Glosario. Para terminar, y por si no te sabes todos 
y cada uno de los acroénimos de los que hace gala la industria 
informatica, he incluido una lista util con las siglas y los 
términos que uso en este libro. 
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Iconos utilizados en este libro 


A lo largo del libro, verds iconos que sirven para llamar la 
atencién sobre datos relevantes para el lector. No vas a ver caritas 
sonrientes guinandote un ojo u otros bonitos emoticonos del 
estilo, pero sin duda querras quedarte con el mensaje. He aqui lo 
que puedes esperar encontrarte. 


BS Este icono sefiala informacién que, junto con los aniversarios 
7 y cumpleafios, seria conveniente que te grabaras en la parte 

no volatil de tu memoria, es decir, en la materia gris (también 
conocida como los sesos). 


ry 
8 ge) Este icono explica la jerga que subyace bajo la jerga. 


Ro Gracias por tu atencion. Espero que te guste el libro. jY trata bien al 
s escritor! En serio, este icono sefala sugerencias e informacion de 
utilidad. 
gRIENCHy, 


SY Estas convenientes alertas ofrecen consejos practicos que te 
ayudaran a evitar errores potencialmente costosos. 


(Por dénde empezar? 


Si no sabes por donde empezar, cualquier capitulo puede valer... 
Aunque el Capitulo 1 puede ser un buen punto de partida. Sin 
embargo, si ves algtin tema en concreto que te llame la atenci6n, 
no dudes en saltarte las paginas que sea necesario para leer dicho 
capitulo. Cada capitulo ha sido confeccionado separadamente 
(aunque no empaquetado para su venta por separado) y escrito 
para que pueda leerse de manera independiente, asi que tomate 
la libertad de empezar por donde quieras y saltar libremente de 
aqui para alla (jme refiero las paginas del libro, no al mundo fisico!). 
Lee este libro en el orden que quieras (aunque no te recomiendo 
hacerlo hacia atras 0 al revés). 
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Capitulo 1 
Entornos virtuales 





En este capitulo 
Definicién de virtualizaci6n 
Beneficios de la virtualizacion 
Reconocimiento de los retos de seguridad de la virtualizaci6n para las empresas 


Trabajar en la nube y el entorno virtual 


[- beneficios de la virtualizacion son incuestionables. 
Organizaciones de todos los tamanos, desde negocios pequenos 
y medianos hasta grandes empresas globales, estan adoptando la 
tecnologia de virtualizaci6n -incluyendo la informatica en la nube-a 
una velocidad sin precedentes. En este capitulo aprenderas algunos 
de los conceptos basicos de las tecnologias de virtualizacién y sus 
beneficios, asi como el modo en que las tecnologias virtuales estan 
cambiando el panorama de la seguridad. 


_ 


(Qué es la virtualizacion? 


La tecnologia de virtualizacién emula los recursos de la informatica 
fisica, tales como los servidores y los ordenadores de sobremesa, 

en un entorno virtual. El] diagrama 1-1 representa un entorno virtual 
simplificado. La plataforma de software de infraestructura virtual, también 
llamada software de virtualizacién, es una capa de virtualizaci6n 
instalada en un servidor fisico. Estos son algunos ejemplos de software 
de virtualizacion: VMware vSphere, Microsoft Hyper-V y Citrix 
XenServer. 
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Maquina virtual Maquina virtual Maquina virtual 
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Plataforma de software de infraestructura virtual 


Almacenamiento Hardware de servidoresyredes Almacenamiento 











Diagrama 1-1: vista simplificada de un entorno informatico virtual. 


El software de virtualizacion se ejecuta en la maquina anfitriona fisica y 
proporciona un ecosistema operativo para diversas instancias virtuales, 
o maquinas virtuales (VM, por sus siglas en inglés), que ejecutan 
aplicaciones especificas. El hipervisor es un componente del software 
de virtualizaci6n que funciona entre el ntcleo del hardware de la 
maquina anfitriona fisica y el sistema operativo de las VM individuales. 
El hipervisor gestiona las comunicaciones y la asignaci6n de recursos 
entre las VM, lo cual hace posible que varias VM funcionen en una tinica 
maquina anfitriona fisica. 


La tecnologia de virtualizacién tiene su origen en los sistemas de 
ordenadores centrales. El ntiicleo de un ordenador central se conoce 
como supervisor. Por tanto, el hipervisor es el software que funciona por 
encima del ntcleo de un entorno virtual. 





Una VM, en su forma mas simple, puede entenderse como una maquina 
fisica reducida a un conjunto de entornos de sistemas operativos 
centrales (ESO): el sistema operativo (SO), una aplicaci6n y el sistema 
anfitri6n o host, que emula a una maquina fisica (como por ejemplo, un 
servidor o un ordenador de sobremesa). Cada VM cuenta con su propio 
sistema operativo (SO), como Windows o Linux, y la maquina anfitriona 
fisica le asigna una parte de los recursos totales de procesador, 
memoria, E/S (entrada/salida) y red, todos ellos son gestionados por el 
hipervisor del software de virtualizaci6n. 


En un entorno virtual cada VM funciona a modo de sesion individual 
dedicada para las aplicaciones especificas que se ejecuten en esa 
VM. Cada sesidén de VM se ejecuta exactamente como lo haria en una 
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maquina fisica dedicada, suponiendo que se asignen los recursos 
adecuados para que sus SO y aplicaciones se ejecuten. El hipervisor 
hace posible que varias sesiones de VM funcionen a la vez en la 
infraestructura virtual que alberga dichas sesiones, lo cual permite un 
aprovechamiento mayor y una asignaciOn mas eficiente de los recursos 
de la maquina anfitriona fisica. 


(Cuales son los beneficios 
de la virtualizacion? 


La virtualizaci6n lleva tiempo siendo una de las tendencias tecnolégicas 
mas interesantes. Segtin calculos de Gartner, Inc., en un centro de 

datos actual, casi la mitad de los servidores basados en x86 estan 
virtualizados; es de suponer que, para 2015, lo estaran mas de las tres 
cuartas partes. 


Las empresas estan adoptando la virtualizaci6n, entre otras razones, 
por lo siguiente: 


 Consolidacién del hardware de los servidores. La virtualizaci6n 
de servidor permite que numerosos sistemas y aplicaciones de 
varios servidores fisicos coexistan en un nico servidor fisico 
(o grupo de servidores fisicos). 


 Mejora de la eficiencia operativa. La virtualizacion proporciona 
a las organizaciones la agilidad y flexibilidad necesarias para 
implementar y mantener los nuevos sistemas y aplicaciones de 
servidor y escritorio y cubrir sus necesidades empresariales. 


YY Optimizacion de recursos limitados. Desde la maximizaci6n de 
CPU, memoria y el aprovechamiento de E/S en los servidores 
anfitriones fisicos hasta la extensi6n de la vida util del hardware 
de los ordenadores personales de sobremesa, la virtualizaci6n 
ayuda a las empresas a sacarle a su equipo informatico la mayor 
rentabilidad sobre la inversion (RSJ). 


 Reduccion de gastos de funcionamiento (OPEX). La 
virtualizacion puede simplificar la gestion de sistemas y reducir la 
huella ecolégica de tu centro de datos, lo cual reduce los gastos 
energéticos e inmobiliarios. 
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Retos de seguridad para empresas 
en un entorno virtual 


Aunque la virtualizaci6n puede reportar importantes beneficios a 
organizaciones de todos los tamafios, en un entorno virtual es necesario 
abordar una serie de retos de seguridad. La agilidad y el cumplimiento 
normativo son algunos de los aspectos que mayor repercusi6n tienen 
en la seguridad. Trataré los retos técnicos de seguridad en el Capitulo 2. 


Agilidad 

La agilidad es uno de los muchos beneficios de la virtualizacién. Las 

VM nuevas pueden ser aprovisionadas, retiradas y puestas en estado 
inactivo con rapidez. Pero la velocidad y comodidad con que se realizan 
estas tareas pueden incrementar la exposici6n a diversos problemas de 
seguridad. He aqui algunas de las importantes cuestiones que conviene 
tener en cuenta: 


(Se han implementado las nuevas VM usando un perfil de 
seguridad aprobado y de acuerdo con las directivas establecidas? 


(Se ha instalado la versi6n adecuada de SO y se le han realizado 
las revisiones correctas a la hora de implementar nuevas VM? 


(Hay recursos apropiados disponibles para las nuevas VM 
implementadas en una maquina anfitriona?? 


(Se ha llevado a cabo un anilisis de capacidad antes de 
implementar nuevas VM en una maquina anfitriona? 


(Como afecta una nueva VM al rendimiento y a la seguridad de 
otras VM en la misma maquina anfitriona? 


(Son las VM inactivas analizadas con regularidad en busca 
de vulnerabilidades conocidas y se instalan y actualizan las 
revisiones de seguridad? 


(Se quitan correctamente de la infraestructura virtual las 
VM retiradas? 


{Qué tratamiento reciben los datos previamente asociados a una 
VM retirada? 


Aunque muchas de las preguntas anteriores son también validas para 
los entornos fisicos, es posible que se cree a una cultura de la velocidad, 
debido a la rapidez con que las VM son implementadas, puestas en linea 
y retiradas, asi como a la constante presi6n ejercida sobre la TI para 
que sea flexible y responda a las necesidades empresariales, que deje 
de lado la prudencia. Por ejemplo, poner en marcha un servidor fisico 
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puede llevarle varias semanas a la tipica empresa de informatica. Estos 
son algunos de los pasos que pueden ser necesarios dar para poner en 
funcionamiento un nuevo servidor fisico: 


 Definir las especificaciones de hardware y software para cumplir 
los requisitos comerciales. 


 Confeccionar una lista de materiales y obtener presupuestos 
competitivos de varios distribuidores. 


 Conseguir la aprobacién del presupuesto y encargar los hardware 
y software necesarios. 


 Encontrar espacio para el equipo fisico en el centro de datos, 
evaluar los requisitos de alimentaci6n y ventilaci6n y, en caso 
necesario, procurarse mas espacio fisico e infraestructura para 
alimentacion y ventilacion. 


YY Instalar y cablear el hardware nuevo, incluyendo los servidores 
y los equipos de almacenamiento y redes. 


Y Instalar los sistemas operativos de los servidores y las 
aplicaciones necesarias y configurar los ajustes de sistema 
apropiados. 


Al estar acostumbrados los clientes y usuarios internos a tener que 
esperar varias semanas antes de que los nuevos sistemas y aplicaciones 
sean puestos en linea, los departamentos de informatica ganan tiempo 
para realizar muchas actividades importantes. Por ejemplo, tras definir 
las especificaciones de hardware y software de un nuevo sistema 0 
aplicaci6n, se puede analizar la capacidad y el rendimiento de referencia 
e identificar las dependencias del sistema con la infraestructura del 
momento para asi determinar si es posible instalar el nuevo sistema 

o aplicacion en sistemas ya existentes. Entonces, tras pasarse varias 
horas instalando un sistema operativo base, los administradores del 
sistema casi siempre dedican el tiempo necesario para descargar 

e instalar los iltimos paquetes de servicio y revisiones de seguridad 

y de software. 


Sin embargo, en un entorno virtual los usuarios finales pueden 
acostumbrarse con rapidez a la situacidn ‘en el momento en que se 
pida’ segtin la cual, desde que alguien solicita una nueva VM con 
caracter inmediato hasta que es puesta en marcha sélo transcurren 
unos minutos. En un entorno tan vertiginoso es posible que se pasen 
por alto etapas importantes de planificaci6n y anilisis, incluyendo las 
configuraciones de seguridad. Usa siempre herramientas de seguridad 
que hayan sido disefiadas para trabajar con los aspectos dinamicos 
del entorno virtual y puedan detectar los problemas automaticamente 
y proteger las VM al instante. 
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Cumplimiento normativo 


Movidos por la necesidad de proteger los datos privados (tales como la 
informacion personal identificable, los datos financieros y los informes 
médicos) de la ciudadania frente a ciberdelincuentes y ladrones de 
identidades, gobiernos de todo el mundo han hallado agujeros norma- 
tivos en todos los niveles. Las practicas recomendables de la seguridad 
de la informacién estan siendo codificadas con rapidez mediante 
mandatos legales que buscan garantizar que la politica corporativa, 

los controles internos, los procesos comerciales y las operaciones 
empresariales de los distintos sectores se encuentren a salvo. 


GRIENCHy, Con mas de 400 normas y mas de 10 000 controles solapados en mas de 
= ‘\. 50 paises de todo el mundo, el cumplimiento normativo se ha conver- 
tido en todo un reto y un mandato complejo para cada organizaci6n. 


iA, 


Estas normas a menudo requieren de controles especificos, programas 
corporativos de cumplimiento normativo, auditorias y procesos de 
divulgacién publica, e imponen severas sanciones por incumplimiento. 
Estas son algunas de las normas mas relevantes sobre la seguridad de la 
informacion y los datos: 


“ FISMA (ley federal sobre gestion de la seguridad de la 
informacion: aplicable a las agencias y contratistas del gobierno 
de los EE. UU. Exige la aplicacion de los procesos de seguridad 
de la informacion de acuerdo con los FIPS (normas federales de 
procesamiento de la informacién) y el NIST (instituto nacional de 
normas y tecnologia). 


HIPAA (ley de transferibilidad y responsabilidad de los seguros 
médicos): estas reglas de seguridad y privacidad son aplicables a 
las “entidades afectadas “ y sus socios comerciales de la industria 
sanitaria. 


 HITECH (ley de tecnologia de la informacion sanitaria para 
la salud economica y clinica): proporciona, entre otras cosas, 
fondos para la financiaci6n de historias clinicas digitales(HCE) 
y exclusion de responsabilidad ante peticiones de divulgacién 
relacionadas con la violacién de informacion cifrada. 


PCI DSS norma de seguridad de datos de la industria de las 
tarjetas de pago): mandato industrial que establece los requisitos 
de seguridad de la informaci6n para organizaciones que procesan 
transacciones con tarjeta (tales como las tarjetas de crédito y 
débito). 

SOX (Sarbanes-Oxley): las empresas de capital abierto deben 
poner en practica un sistema de control informatico. Algunos 
mandatos no pueden ser llevados a cabo sin el uso prudente de la 
seguridad para la tecnologia y la informacion. 
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El rapido ritmo y constante evoluci6n propios de la tecnologia hacen 
que alcanzar y mantener el cumplimiento normativo sea muy dificil. 
Ademias, los requisitos normativos a menudo se quedan atras con 
respecto a tecnologias concretas y sus repercusiones en la seguridad. 
Aunque la mayor parte de los requisitos normativos no van dirigidos a 
tecnologias concretas (de éstas, el cifrado es una destacada excepcion), 
algunos organismos reguladores han comenzado a aceptar la realidad 
de que la virtualizacion se ha convertido en una practica importante en 
los centros de datos de todo el mundo. 


Por ejemplo, el PCT Security Standards Council (SSC, consejo de normas 
de seguridad de la industria de tarjetas de pago) ha publicado 
directrices para la virtualizaciOn. Estas directrices no son requisitos 
normativos adicionales, sino que proporcionan definiciones estandar de 
conceptos y tecnologias de virtualizacién, abordan peligros especificos 
de los entornos virtualizados y realizan recomendaciones para remediar 
los riesgos de seguridad de un entorno virtual 0 en la nube. 


Las directrices de virtualizaci6n PCI DSS (de junio de 2011) presentan 
cuatro principios aplicables a la virtualizaci6n en los entornos de datos 
de titulares de tarjetas. Dichos principios, en sintesis, son los siguientes: 


Los requisitos de la PCI son aplicables a las tecnologias de 
virtualizaci6n empleadas en los entornos de titulares de tarjetas. 


La virtualizacion entrana riesgos exclusivos que deben ser 
evaluados. 


 Alahora de implementar la virtualizaci6n, es necesario llevar a 
cabo detecci6n, identificacion y documentaci6n minuciosas del 
entorno. 


No existen soluciones universales para la seguridad en un entorno 
virtualizado. 


Algunos de los peligros abordados en las directrices de virtualizaci6n 
PCI, de los cuales hablaré con mas detalle a lo largo de este libro, son los 
siguientes: 


¥ Las vulnerabilidades de los entornos fisicos son también 
aplicables a los entornos virtuales. 


Los hipervisores crean una nueva superficie susceptible de 
ataque. 


Los entornos virtuales presentan una mayor complejidad. 


La virtualizaciOn acaba con el modelo de implementaci6n segtin el 
cual cada servidor fisico cumple una sola funcién. 


 Coexisten en el mismo anfitridn fisico varias maquinas virtuales 
(VM) con distintos niveles de confianza (por ejemplo, las 
aplicaciones orientadas al interior y al exterior y las distintas 
directivas de seguridad). 
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No hay separacion de tareas entre los administradores del 
sistema, pues todos necesitan tener acceso a los entornos 
virtuales. 


 Revisiones y actualizaciones para las VM inactivas. 


Informacion confidencial contenida en imagenes e instantaneas de 
las VM. 


Registro y seguimiento insuficientes en el entorno virtual. 


 Filtracion de informacion entre los segmentos y los componentes 
de las redes virtuales. 


Aunque las diferencias entre los entornos fisicos y virtuales puedan 
parecer obvias, es esencial que conozcas los detalles para poder 

asi realizar una evaluacion y disefo correctos de las soluciones de 
seguridad que implementas en tu entorno virtual. En el Capitulo 2 
explicaré algunos de los retos especificos de seguridad técnica en un 
entorno virtual. 


Nube y virtualizacion 


El crecimiento de la informatica en la nube ha sido propiciado por la 
virtualizacion y su menor coste en cuanto a recursos informaticos, 

al permitir que varias entidades no relacionadas compartan dichos 
recursos. Gracias a la alta densidad de VM y a un aprovechamiento 
del hardware atin mayor en la infraestructura de la nube, los 
proveedores de la nube pueden ofrecer sus productos con una buena 
relaci6n calidad-precio y permitir un facil acceso a empresas de 
todos los tamanios. La capacidad de aumentar y reducir la potencia 
de procesamiento en un instante permite proporcionar la flexibilidad 
necesaria para mejorar el equilibrio entre los requisitos informaticos 
y la demanda de los usuarios y del mercado. Actualmente, muchas 
empresas incluyen los recursos de la nube en la mezcla informatica 
que usan a diario, lo cual ha dado lugar a un nuevo modelo de 
entornos hibridos que combina sistemas fisicos y virtuales para la 
implementaci6n individual o de servidor (tanto en los lugares de 

las empresas como en centros de datos corporativos) e incorpora 

de modo transparente la computaci6n en la nube a la mezcla. Los 
beneficios son obvios, ya que las empresas pueden proveer con mayor 
facilidad infraestructuras basadas en una serie de variables (como las 
necesidades segin la temporada), funciones individuales o pueden usar 
el mejor tipo de recurso informatico para cumplir con las normativas. 
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En este capitulo 
Retos de seguridad de un entorno virtual 
Uso de la soluci6n de seguridad adecuada para tu entorno 
Proteccion de datos en la red 


[: herramientas de seguridad disefiadas para sistemas 

fisicos poseen limitaciones que restringen su eficacia en 
entornos virtuales. Estas limitaciones pueden también reducir 

o eliminar muchos de los beneficios de la virtualizaci6n cuando 

las herramientas de seguridad disenadas para sistemas fisicos se 
implementan o asignan a los entornos virtuales. En este capitulo 
explicaré esos retos y el modo en que afectan negativamente a los 
entornos de servidores virtuales, asi como la manera en que las 
soluciones de seguridad compatibles con el entorno virtual pueden 
ayudar a abordar dichos retos. 


Ketos de seguridad especificos 
del entorno virtual 


Una plataforma para software de infraestructura virtual es en 
esencia un entorno de alojamiento virtual expuesto alos mismos 
problemas de seguridad que los entornos fisicos y que tiene ademas 
algunos retos adicionales exclusivos de los sistemas virtuales. E] 
hipervisor de un entorno virtual es, de alguna manera, andlogo al 
router de red de un entorno fisico. Cada maquina virtual (VM) y 
aplicaci6n hacen pasar su trafico de red a través del hipervisor 

de camino a otros sistemas virtuales 0 fisicos 0 a dispositivos del 
cliente. Dado que el hipervisor es parte de un sistema cerrado 
dentro de la infraestructura virtual, muchos productos de seguridad 
(por ejemplo, los cortafuegos y los sistemas de deteccién de 
intrusiones/sistemas de prevencidn de intrusiones (IDS/IPS) en 
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la red) no pueden ver el trafico del hipervisor y crean, por tanto, 
una importante zona de exposicion y un vector de ataques muy 
atrayente, especialmente debido a la variada mezcla de aplicaciones 
que pueden instalarse a modo de VM en una maquina anfitriona 
fisica. 


La imposibilidad de visualizar el trafico entre maquinas virtuales 
genera un riesgo inaceptable debido a la existencia de posibles 
amenazas desconocidas circulando por el hipervisor. Es ademas la 
causa de potenciales problemas de rendimiento que son en realidad 
provocados por agentes de seguridad tradicionales, tales como el 
software de antimalware instalado en VM individuales que descarga, 
de manera programada, archivos de firmas actualizados. Estas 
condiciones afectan negativamente a la seguridad y al rendimiento 
de un entorno virtual, asi como a sus potenciales beneficios, debido 
ala menor densidad de VM por anfitrion fisico. 


Por ultimo, las VM inactivas y las migraciones de VM también 
pueden dar lugar a retos de seguridad propios del entorno virtual. 


Comunicaciones entre madquinas 
virtuales 


La implementacion de un entorno virtual no cambia el modo en 
que uno deberia disefiar el entorno de su sistema. Al igual que 
sucede en un entorno fisico, tus sistemas y aplicaciones privados 
o internos deben estar separados de tus sistemas y aplicaciones 
publicos u orientados al exterior. Evita siempre poner los sistemas 
y aplicaciones orientados al interior y al exterior en el mismo 
hardware fisico. Si mezclas aplicaciones orientadas al interior (por 
ejemplo, el sistema de nominas de una empresa) y al exterior (por 
ejemplo, una aplicaci6n web para socios), puedes estar exponiendo 
al mundo exterior, sin necesidad alguna, las aplicaciones internas 
que contienen informacion confidencial. Una VM orientada al 
exterior proporciona una puerta de entrada a todas las demas 

VM de la misma maquina anfitriona a través del hipervisor (ver 
diagrama 2-1). 


Seguin investigaciones realizadas en el sector, hasta un 70 por ciento 
de las VM esta orientada al exterior, lo que significa que hay muchas 
probabilidades de que haya usuarios que no conoces 0 en los que 
no confias y que no puedes controlar su acceso a al menos una de 
aplicaciones que se ejecutan en la maquina anfitriona de tu VM. 
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Los ataques pueden extenderse entre las VM 


Diagrama 2-1: una VM orientada al exterior puede usarse como trampolin para 
atacar otras VM dela misma maquina anfitriona a través del hipervisor. 


Las VM se comunican por medio del hipervisor en el caso de 

las operaciones habituales entre clientes y servidores (trafico 

de norte a sur) y de las comunicaciones entre servidores de VM 
(comunicaciones entre maquinas virtuales o trafico de este a oeste). 
Las comunicaciones entre maquinas virtuales pueden exponer a las 
VM a trafico imprevisto (por ejemplo, a una mezcla de diferentes 
tipos de aplicaciones). Las herramientas de seguridad tradicionales, 
tales como los cortafuegos y los IDS/IPS utilizados para gestionar y 
proteger los sistemas fisicos que funcionan en un segmento de red 
fisica, no pueden supervisar las comunicaciones entre maquinas 
virtuales dentro de un entorno virtual. Ello significa que tus 
cortafuegos y IDS/IPS tradicionales no pueden proteger tus VM de 
muchos tipos de ataques porque sdlo pueden ver el trafico entre 
sistemas fisicos. Para supervisar y proteger el trafico entre las VM, 
se necesitan soluciones de seguridad disefadas para funcionar en 
un entorno virtual y que puedan por tanto supervisar y proteger las 
comunicaciones entre maquinas virtuales. 


Aprovechamiento de recursos 


Otro de los principales beneficios de la tecnologia de virtualizaci6n 
es que maximiza el uso eficiente de los recursos del servidor fisico. 
Muchas de las aplicaciones tipicas para servidores aprovechan 
como mucho un 5 por ciento de la capacidad total de una CPU y 
s6lo ente un 30 y un 40 por ciento de la memoria disponible en el 
servidor fisico. 


Debido a este bajo nivel de aprovechamiento y al exceso de 
capacidad disponible en los servidores fisicos, el software de 
seguridad tradicional que se ejecuta en el hardware de servidores 
dedicados tiene normalmente todos los recursos de CPU, memoria 
yE/S que necesita para llevar a cabo sus operaciones de seguridad 
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y raramente tiene que competir con otras aplicaciones de software 
por dichos recursos. Por ejemplo, el software antimalware 
tradicional emplea tantos recursos disponibles del servidor como 
le son precisos para desempenar funciones tales como analizar 

y poner en cuarentena los archivos infectados. El software de 
seguridad también suele experimentar fuertes altibajos en cuanto 
a demanda de recursos se refiere: a veces le basta con un minimo 
de recursos para supervisar ciertas actividades del servidor o 
desencadenar eventos y otras veces necesita numerosos recursos 
para analizar y proteger rapidamente el servidor frente a una nueva 
amenaza. 


En un servidor fisico dedicado, este modelo de asignacién de 
recursos funciona relativamente bien, ya que todos los recursos 

del servidor fisico estan disponibles para el sistema operativo 

(SO), sus aplicaciones instaladas y el software de seguridad. El SO 
gestiona todos los recursos disponibles y garantiza que las tareas de 
seguridad reciban la prioridad adecuada, de modo que el SO y todas 
las aplicaciones que se estén ejecutando funcionen correctamente y 
estén protegidas de manera apropiada. 


En el diagrama 2-2 se muestra la implementacion tipica de las 
aplicaciones individuales instaladas en servidores fisicos separados. 
En cada uno de los servidores fisicos se instala un agente de 
seguridad para analizar y proteger el SO y las aplicaciones. Los 
agentes de seguridad individuales se comunican con el sitio externo 
para actualizar la informacion sobre amenazas que posee. 
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Actualizaciones 
Agentes 
Datos sobre amenazas 
[ 
Agente de Agente de Agente de Agente de 
seguridad (SA) seguridad (SA) seguridad (SA) seguridad (SA) 
2 
Aplicacion Aplicacion Aplicacion Aplicacion 3 
Sistema Sistema Sistema Sistema 3 
operativo operativo operativo operativo x 
3 
Recursos de Recursos de Recursos de Recursos de 
hardware hardware hardware hardware 
dedicados dedicados dedicados dedicados 
CPU CPU CPU CPU 
Memoria Memoria Memoria Memoria 
E/S E/S E/S E/S 
























































Diagrama 2-2: servidores fisicos tradicionales con aplicaciones individuales 
y agentes de seguridad instalados. 
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Comparativamente, en un entorno virtual el aprovechamiento de los 
recursos informaticos de una maquina anfitriona fisica tendera a ser 
muy superior a la media. En un entorno virtualizado, el hipervisor 
(ver el Capitulo 1) gestiona la asignacion de los recursos de la 
maquina anfitriona fisica entre todas las VM que se ejecutan en ese 
anfitrion. Pero por muy grande que sea el servidor fisico que se 
utilice para hacer funcionar este ecosistema virtual, sigue habiendo 
una cantidad fija de recursos de hardware (tales como la CPU, la 
memoria 0 la E/S). 


El software de seguridad disenado para los sistemas fisicos no es 
eficaz en el entorno virtual, esto es, no cuenta con mecanismos 
para detectar que esta instalado en un entorno virtualizado, en el 
que tiene que compartir los recursos del servidor con las muchas 
VM de la misma maquina virtual fisica. Aunque el hipervisor 

esta disenado para manejar los fuertes altibajos de demanda de 
recursos, cuando el software tradicional de seguridad se ejecuta 

en un entorno virtual puede causar problemas a todas las VM 
implementadas en ese anfitrion fisico. Por ejemplo, si hay varias VM 
instaladas en un Unico anfitrion fisico y cada VM ejecuta un agente 
de seguridad antimalware tradicional, el desencadenamiento de un 
s6lo evento puede hacer que todas las VM realicen simultaneamente 
un analisis de sistema completo. Esto puede causar que los recursos 
del sistema disponibles en el anfitrion fisico se agoten de inmediato 
y las aplicaciones alojadas dejen de funcionar. 


E] diagrama 2-3 muestra el software tradicional de seguridad 
antivirus/antimalware basado en un agente disenado para un 
sistema fisico, pero que se ha implementado en un entorno virtual. 
Como en el modelo de implementaci6n fisica, los agentes de 
seguridad instalados analizaran los archivos individualmente en 
busca de amenazas dentro de cada VM y realizaran periddicamente 
andlisis parciales o completos del sistema, las aplicaciones y los 
archivos de cada VM. Los agentes de seguridad individuales se 
comunicaraén también regularmente con un sitio externo para 
actualizar su informacié6n sobre amenazas, lo que puede hacer que 
el sistema anfitri6n fisico y a la red se ralenticen. 


Estos conflictos de recursos pueden llevar a las empresas de 
informatica a realizar practicas poco recomendables, como asignar 
recursos excesivos para cubrir actividades y andlisis de seguridad 
dinamicos, de alto consumo de_ recursos en ciertas ocasiones 

y garantizar asi que sus aplicaciones virtualizadas alcancen un 
rendimiento aceptable. Por desgracia, tener que considerar la 
naturaleza intermitente de dichos agentes de seguridad puede 
reducir significativamente el nomero de VM que pueden instalarse 
en una plataforma anfitriona. 
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Diagrama 2-3: agentes de seguridad tradicionales disefados para los sistemas 
fisicos instalados en un entorno virtual. 


UM inactivas 


Los servidores inactivos, es decir, los servidores que han sido 
desconectados o no han funcionado durante largo tiempo, 
presentan retos de seguridad en todos los entornos de centros 

de datos, ya sean fisicos o virtuales. Los servidores inactivos (0 

VM inactivas en un entorno virtual) suelen pasar desapercibidos 
cuando se aplican como parte del ciclo normal de mantenimiento 
actualizaciones del sistema operativo, parches de seguridad y 
actualizaciones o archivos de firmas contra amenazas. Cuando estos 
servidores inactivos son conectados y puestos en funcionamiento, 
pueden ser mas vulnerables a amenazas contra las que previamente 
se han aplicado parches 0 actualizaciones en otros sistemas de 
produccion. Asi, un servidor inactivo puede poner todo tu centro de 
datos en peligro al facilitar un punto de entrada a tu red. 


En un entorno de servidores fisicos, los servidores inactivos son 
normalmente menos predominantes que en los entornos virtuales. 
Muchas empresas de informatica carecen de herramientas de 
gestion para conectar o desconectar con facilidad el hardware de 
los servidores fisicos de un centro de datos remoto. El hardware 
fisico es también relativamente caro. Por tanto, la mayor parte de 
las organizaciones normalmente sdlo adquiere nuevo hardware para 
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servidores cuando es necesario y prefieren no tenerlo inactivo y 
ocupando el valioso espacio de las estanterias del centro de datos. 
De hecho, la ausencia de “lucecitas parpadeantes” en una estanteria 
haria que la mayoria de los administradores informaticos sufriesen 
un breve ataque de panico, temiendo que un sistema de produccién 
se hubiese apagado inesperadamente o hubiese empezado a 
funcionar mal. 


En cambio, una VM inactiva en un entorno virtual es una cuesti6n 
completamente distinta. La facilidad con que las VM pueden ser 
creadas y conectadas o desconectadas (como se muestra en 

el Capitulo 1) y la falta en general de costes adicionales reales 
asociados con VM inactivas conduce a la proliferaci6n de servidores 
en el centro de datos. 


Otros muchos sistemas y tecnologias del centro de datos pueden 
también aprovechar la capacidad del entorno virtual de crear 

o conectar las VM de modo dinamico, como ocurre cuando un 
servidor se bloquea 0 se alcanza un umbral de carga. Por ejemplo, 
los equilibradores de carga pueden conectar automaticamente mas 
servidores web virtuales durante periodos de maxima actividad 
para asi mantener el nivel de rendimiento requerido por un sitio 
web con muchas visitas. Un servidor web con VM inactivas al que 
no se le hayan aplicado los parches adecuados podria poner en 
peligro casi al instante toda la infraestructura de una empresa si se 
conecta automaticamente mediante un equilibrador de carga. 


<f0 Las herramientas de gestion centralizadas (como, por ejemplo 
vCenter y VMware) pueden ayudar a los administradores 
informaticos a controlar todas las VM de un entorno virtual 
(incluyendo las inactivas). No obstante, la aplicacion de parches 
y actualizaciones a las VM inactivas sigue siendo en gran medida 
una tarea de seguridad manual, aunque importante, en la mayoria 
de los casos. 


Lay 


Migraciones de VM 


Otra caracteristica importante de los entornos virtuales es la 
capacidad de trasladar las VM entre anfitriones fisicos para 
gestionar de modo dinamico los recursos o cargas de los servidores 
o con fines de recuperaci6n ante desastres. Una VM puede ser 
trasladada de un anfitrion fisico a otro dentro del mismo centro de 
datos 0 a otros centros ubicados en cualquier lugar del mundo. 


Las migraciones de VM conllevan complejos retos de seguridad 
entre los que se incluyen los siguientes: 
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{Como garantizar que se aplican las directivas de seguridad 
adecuadas al trasladar VM individuales de un anfitrion fisico 
o centro de datos a otro? 


i {Qué sucede cuando una VM es trasladada a una maquina 
anfitriona fisica con un nivel distinto de protecci6n de 
seguridad? 


~ {Como se protege una VM al migrarla de un anfitri6n fisico a 
otro? 


Los cortafuegos e IDS/IPS tradicionales estan instalados en 
segmentos de redes fisicas y, por ello, no pueden proteger las VM de 
manera adecuada ya que éstas migran de un anfitrion fisico a otro o 
de un centro de datos a otro. 


Tener una solucion de seguridad adherente (es decir, aquella que 
se desplaza junto con una VM determinada), tanto si es sin agente 
como basada en un agente, te permite tener distintos ajustes de 
seguridad para cada VM de tu entorno virtual, independientemente 
de la maquina anfitriona fisica en la que esté ubicada una VM 
determinada en un momento dado. 


Como abordar los retos de 
seguridad virtual con soluciones 
compatibles con el entorno virtual 


Una solucién de seguridad compatible con el entorno virtual esta 
disenada tanto para entornos virtuales como fisicos. Con este tipo 
de soluci6n se pueden instalar agentes de seguridad individuales 
en servidores fisicos dedicados cuando se requiera. En el entorno 
virtual se puede implementar un aparato virtual (ver diagrama 2-4) 
que desempefie todas las funciones de una soluci6on de seguridad 
como si fuera una sola VM. El aparato virtual supervisa todos las 
VM a través del hipervisor. De ese modo, no se necesita agente 

en las VM individuales y el aparato puede ver todo el trafico entre 
maquinas virtuales en el hipervisor. El aparato virtual se comunica 
directamente con un sitio externo para descargar informaci6n 
actualizada sobre amenazas, la cual se usa para proteger todas 

las VM a la vez, incluyendo las VM inactivas. Este disefio reduce 
considerablemente el trafico de red y el uso de los recursos 

del anfitrion fisico. En un entorno virtual con muchos recursos 
concurrentes, la seguridad sin agente es el modo mas eficaz de 
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proporcionar protecci6n consistente y maximizar la densidad de 
las VM por anfitrion. 
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Diagrama 2-4: aparato de seguridad (VM segura) compatible con el entorno 
virtual instalado en un entorno virtual. 


Ademas de un aparato virtual sin agente, una soluci6n de seguridad 
completa, compatible con el entorno virtual, proporciona 
herramientas basadas en agente que son asimismo aptas para 

el entorno virtual ante diferentes casos de implementacion y 
necesidades comerciales. Por ejemplo, puede que necesites utilizar 
un agente al trasladar una de tus VM a un proveedor de servicios 
en la nube. Puedes instalar un agente en la VM y seguirlo hasta la 
nube, lo que te proporciona el mismo nivel de protecci6n que si la 
VM estuviese atin en tu centro de datos y te permite gestionar la 
seguridad de la VM remotamente desde tu consola local. 


Ryu, Las herramientas de seguridad tanto sin agente como basadas en 
y agente tienen usos apropiados en entornos fisicos, virtuales, en 
la nube e hibridos. Para obtener la maxima flexibilidad, necesitas 
una soluci6n de seguridad compatible con el entorno virtual, sin 
agente y basada en agente, que te permita seleccionar el tipo de 


implementaci6n que mejor se adapte a tu caso sin que afecte de 
manera negativa al rendimiento. 
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La proteccion de datos en la nube 


ey 


El uso de la informatica en la nube ha aumentado enormemente y ha 
generado todo un nuevo modelo empresarial. Ofrece a las empresas 
la posibilidad de modificar la disponibilidad de sus recursos 
informaticos de manera rapida, facil y barata y de adaptarse a las 
exigencias de los recursos informaticos dinamicos. De modo que 
icémo se protegen las empresas frente a los peligros especificos de 
lanube? ;C6mo se asegura una empresa de que sus datos en la nube 
tengan el mismo nivel de protecci6n que cuando se accede a ellos y 
se almacenan en su propio centro de datos? 


Los proveedores de servicios en la nube quieren que tus datos estén 
seguros. Les interesa que emplees las herramientas apropiadas 

para proteger tus aplicaciones virtuales en la VM de las VM de otras 
organizaciones que se ejecutan en la misma maquina anfitriona o 
estan almacenadas en el mismo espacio. Estas funciones (como se 
muestra en el Capitulo 4) han de permitirte supervisar y bloquear 
las amenazas que puedan surgir de otras aplicaciones virtuales. 
También deberia ser posible proteger aplicaciones especificas o 
archivos y directorios confidenciales. 


En el mundo compartido de la nube, tus datos estan mas expuestos 
porque circulan por redes compartidas y se guardan en dispositivos 
de almacenamiento compartidos con los datos de otros clientes 

de la nube. Ademas, la ubicaci6n de tus datos almacenados puede 
cambiar en base a muchos factores que se hallan fuera de tu 
control. El hecho es que un proveedor de servicios en la nube puede 
trasladar, y trasladard, tus aplicaciones virtuales entre anfitriones 
fisicos y tus datos de un entorno de almacenamiento a otro. 


Es posible que el movimiento de datos dé lugar a problemas puesto 
que pueden quedar restos legibles de tus datos en una antigua 
ubicacion de almacenamiento. Para proteger los datos que viajan 
por redes compartidas y son almacenados de manera compartida, 
es necesario adoptar un enfoque que se centre mas en los datos. 
Trata de emplear un componente de seguridad que te permita 
establecer directivas de acceso y almacenamiento de datos en la 
nube (esto también puede funcionar en tu propio centro de datos). 
Asimismo, sirvete del cifrado para garantizar que los datos no 
puedan ser leidos cuando circulen 0 sean almacenados en la nube. 
Este sistema te permite establecer y hacer cumplir directivas para 
la protecci6n de datos mediante un servidor de directivas que te 
pertenece y el cual controlas. Se trata en parte de utilizar claves 
para cifrar y descifrar datos, con derechos definidos de acceso a las 
claves y los datos de acuerdo con las directivas de tu empresa. 
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En este capitulo 


Reconocimiento de los problemas con productos de seguridad 
tradicionales en las implementaciones de la VDI 


Como dar con la mejor seguridad para la VDI 
Gesti6n del acceso a datos y la seguridad con la VDI 
Trabajo con la VDI y la nube 


[. virtualizaci6n de escritorio se ha ido extendiendo durante 
los iltimos cinco afios. Constituye un paso légico para las 
empresas de informatica que ya han adoptado la virtualizacion del 
servidor en sus centros de datos. Dichas empresas han adquirido 
los conocimientos y la experiencia necesarios para llevar a 

cabo la expansion requerida para la virtualizaci6n de escritorio. 
La virtualizaci6n de escritorio es coherente con la tendencia 
actual del BYOD (“trae tu propio dispositivo”, por sus siglas en 
inglés), que ha llevado a la proliferaci6n del namero y el tipo de 
dispositivos que los usuarios llevan al trabajo. 


En este capitulo aprenderas por qué los productos tradicionales 
de seguridad para escritorio y las infraestructuras de escritorio 
virtual (VDJ) no casan bien y cémo la VDI misma puede 
proporcionar un mayor control sobre el acceso y la seguridad 
de datos. 
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Los retos de seguridad de la VDI 


A medida que el BYOD va ganando aceptaci6on, empresas de 
todos los tamafios se ven en la necesidad de dar con distintas 
maneras de enfocar la seguridad del punto de destino. Cada 
vez es mas habitual no tener ni la propiedad ni el control de los 
dispositivos que acceden a tus sistemas e informacion, por lo 
que las soluciones de seguridad para el punto de destino, tales 
como el software antimalware y los cortafuegos personales, son 
mucho menos practicos. Por ejemplo, una empresa pequena 
puede usar un servicio de facturaci6on de terceros para introducir 
la informacion de un cliente en sus sistemas o un profesional 
sanitario puede trabajar en su despacho o en el hospital y 

usar sus dispositivos personales (como teléfonos inteligentes 

y tabletas) en ambos lugares para acceder al historial de sus 
pacientes. En ambos ejemplos la cuesti6n gira entorno a como 
hacer lo siguiente: 


 Proteger tus sistemas e informaci6n sin poder controlar 
directamente los dispositivos del usuario final. 


 Permitir el acceso inicamente a las aplicaciones necesarias 
para realizar una labor especifica. 


 Asegurarte de que tus sistemas e informacion no se vean 
amenazados por un dispositivo que haya sido infectado con 
malware. 


El malware es software o cédigo malicioso que normalmente 
dafia o inutiliza un sistema informatico 0 toma control 0 roba 
informaci6n del mismo. El] malware incluye generalmente virus, 
gusanos, troyanos, bombas logicas, rootkits, bootkits, puertas 
traseras, spyware y adware. 


En una infraestructura de escritorio virtual (VDI, por sus siglas en 
inglés) se alojan varios sistemas operativos para escritorio y/o 
aplicaciones a modo de maquinas virtuales (VM) en un servidor 
fisico que ejecuta un hipervisor (ver diagrama 3-1). Al ejecutar 
productos de seguridad tradicionales tanto en un entorno de VDI 
como en un entorno de servidor virtual surgen algunos problemas 
importantes (ver Capitulo 2). Los productos tradicionales de 
seguridad de servidores se ejecutan en la maquina anfitriona, 

no en los escritorios virtuales, por lo que no pueden llevar a 

cabo analisis o gestionar recursos entre los escritorios virtuales. 
Estas limitaciones pueden hacer que la aplicacion del anfitri6n se 
ralentice e incluso deje de responder a las peticiones del cliente 
del escritorio virtual. 
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Diagrama 3-1: escritorio virtual ejecutandose en un entorno de VDI. 


La VDI no es la tinica tecnologia de virtualizaci6n de escritorio 
disponible, pero se esta convirtiendo rapidamente en una de 

las implementaciones de escritorios virtuales mas populares. 
Otras tecnologias de virtualizacion de escritorio incluyen: la 
virtualizacion de aplicaciones para servicios de escritorio remoto, 
la virtualizaci6n de usuario, la disposici6n en capas, Desktop as 

a Service (Daas, escritorio segan demanda) y la virtualizacion de 
escritorio local. 


Los problemas son aun peores en el caso de los productos 
tradicionales de seguridad para escritorio instalados en 
escritorios virtuales individuales. Por ejemplo, cuando muchos 
usuarios inician sesi6n en su escritorio virtual mas o menos 
simultaneamente, como por ejemplo al inicio de la jornada laboral, 
los métodos de andlisis tradicionales pueden paralizar todo 

un entorno de VDI. Un producto tradicional de seguridad para 
escritorio normalmente analiza un sistema de escritorio entero 
cuando un usuario inicia sesi6n, ya sea porque esta programado 
para realizar el andlisis tras iniciarse correctamente la sesi6n o 
porque el ultimo andalisis programado (quiza un andlisis nocturno 
alas 3 dela manana) no ha podido Ilevarse a cabo debido a que el 
escritorio virtual estaba inactivo en ese momento. 


A medida que los usuarios individuales acceden a las distintas 
aplicaciones y datos a lo largo de la jornada, se realizan mas 
analisis de acuerdo con las directivas normalmente establecidas 
en base aun modelo de “un solo usuario por cada escritorio 
fisico”. En cambio, en un entorno de VDI muchos escritorios 
virtuales comparten los mismos procesadores y la misma 
memoria de un tnico servidor fisico. Debido al hecho de que 
estas directivas de andlisis se aplican sin tener en cuenta la 
disponibilidad de recursos y de que los productos tradicionales 
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de seguridad para escritorio no son capaces de detectar los 
problemas de conflicto de recursos que puedan surgir, el impacto 
en el rendimiento de los escritorios virtuales puede ser frustrante 
para los usuarios finales. 


Ademas, los productos tradicionales de seguridad para escritorio 
suelen analizar todo lo que hay en un ordenador de sobremesa, 
sin tener en cuenta si ha habido cambios desde el Ultimo analisis 
en los directorios, archivos, perfiles de usuario 0 en cualquier otro 
elemento. Los andlisis en masa suponen un gran esfuerzo de uso 
de recursos (al contrario que los anialisis inteligentes, que sdlo se 
ejecutan cuando hay cambios)sin que ello tenga necesariamente 
ningun beneficio real en la seguridad. 


En un entorno de VDI las limitaciones de los productos 
tradicionales de seguridad para escritorio pueden afectar 
significativamente al namero de usuarios que tengan la posibilidad 
de acceder a cualquiera de los escritorios 0 aplicaciones de 
anfitriones de VDI lo que, a su vez, limita los beneficios que se 
obtendran de la virtualizaci6n de escritorio. 


Como dar con el mejor tipo de 
seguridad para trabajar con la VDI 


La conclusion es que las soluciones de seguridad tienen que 

ser capaces de adaptarse a los distintos entornos virtuales que 
encontramos en las empresas actuales. Con la VDI tu software de 
seguridad debe poder adaptarse a tu entorno informatico, sea 
éste fisico o virtual. Ello incluye la capacidad de hacer lo siguiente: 


 Analizar y proteger frente a las amenazas que se presentan 
con mecanismos de andlisis inteligentes para evitar asi que el 
acceso de los usuarios de la VDI sufra retrasos. 


 Analizar sdlo aquello que ha cambiado, 0 Gnicamente 
archivos en vez de todo el sistema de escritorio, para reducir 
la demanda de recursos compartidos y permitir una mayor 
densidad de VDI por maquina anfitriona. 


v~ Emplear proteccion inteligente que mantenga 
automaticamente el rendimiento y el acceso al sistema y al 
escritorio. 

¥ Analizar los escritorios virtuales inactivos de la maquina 
anfitriona de la VDI. 


 Proteger el hipervisor de la maquina anfitriona de la VDI. 
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Estas funciones pueden marcar una enorme diferencia en lo que 
respecta a las posibilidades de uso de un entorno de VDI y, por 
tanto, permitir que tu empresa conecte un nimero mayor de 
usuarios a un escritorio o aplicaci6n anfitriona de VDI. Lee el 
texto del cuadro “Trend Micro Deep Security protege los entornos 
de VDI y reduce costes” a modo de ejemplo de c6mo una gran 
organizaci6n puede lograr una mayor densidad de VDI por 
maquina anfitriona y ahorrar considerablemente en costes. 


Gestion del acceso a datos 
y la seguridad con la VDI 


En un entorno de VDI los datos de tu empresa se alojan en tus 
servidores internos, lo cual reduce la exposici6n a numerosas 
amenazas. Por ejemplo, tus datos sélo pueden verse durante una 
sesi6n de usuario y no pueden ser descargados 0 guardados en 

el escritorio local de un usuario. Estas caracteristicas pueden 

por si solas mitigar considerablemente muchos de los peligros 
asociados con el BYOD ya que evitan de hecho que se pierdan 
datos debido al extravio de un dispositivo o a la intrusi6n de 
terceros en el mismo, lo que reduce en gran medida el riesgo la 
sustraccién de informacion importante. En el caso, ya comentado 
anteriormente en este capitulo, del empleado de hospital que 
accede al historial de un paciente desde una tableta, crear una 
sesi6n de VDI garantizaria que nunca se almacenase informacion 
en dicho dispositivo. El empleado puede acceder directa y 
facilmente a la informacién desde una aplicacion del servidor en el 
que dicha informacion estara alojada y protegida por los distintos 
sistemas de seguridad del hospital. 


La VDI ayuda a las organizaciones a cumplir con los diferentes 
requisitos normativos, en especial con las disposiciones que 
requieran estrictos controles de acceso y mecanismos para 

la prevencion de pérdida de datos y asi proteger determinada 
informacion. La VDI también hace mas facil probar el 
cumplimiento normativo en auditorias internas y externas. 

Por ultimo, la VDI puede reducir en gran medida el alcance 

y el coste de las solicitudes de pedido de presentaci6n de 
pruebas electrénicas asociadas a citaciones o peticiones legales 
de conservaci6n de documentos; ello se debe a que se tiene 
constancia del nimero de maquinas anfitrionas de la VDI en las 
que esta alojada la informaci6n y pueden encontrarse con relativa 
facilidad, al no estar dispersas por cientos o miles de escritorios 
en las numerosas ubicaciones geograficas de la organizaci6n. 
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Uso de la VDI en la nube 


Muchas empresas que ya usan una mezcla informatica hibrida 
pueden valerse de la infraestructura de la nube para implementar 
una VDI. Por ejemplo, cuando se necesita contratar personal 
temporal en periodos de aumento de la actividad. La VDI en la 
nube puede ayudarte a afiadir recursos para eventuales de modo 
rapido a la vez que proteges tus datos. Puedes facilitar el acceso 
de los trabajadores temporales de manera sencilla y rentable y no 
permitir que usen aplicaciones especificas, con lo que garantizas 
el almacenamiento seguro de tus datos y les impides explorar tu 
red o guardar y almacenar tus datos localmente. 








Trend Micro Deep Security protege 
los entornos de VDI y reduce costes 





La VDI es la categoria de virtualizacion 
que crece con mayor rapidez. Las 
organizaciones que adoptan la VDI 
buscan una s6lida seguridad de 
escritorio y la maxima densidad de 
servidor. Ello puede lograrse mediante 
soluciones de seguridad sin agente, 
en las que se ha observado que las 
densidades de servidor son entre un 
60 y un 200 por ciento superiores a sus 
equivalentes basadas en agente. 


Por ejemplo, una organizacion con 
1000 escritorios provistos de VDI, en 
cada uno de los cuales se ha instalado 
un sistema de seguridad heredado 
basado en agente, solo puede instalar 
unos 50 escritorios con VDI por cada 
servidor fisico (segin el informe 
oficial de marzo de 2012 de Osterman 
Research). Con Trend Micro Deep 


Security, una organizacion puede tener 
unos 80 escritorios con VDI por cada 
servidor fisico. 


De tal modo que, usando Trend Micro 
Deep Security, el dinero que ahorraria 
una organizaci6n en servidores 
fisicos, costes de licencia de VMware, 
costes de centros de datos por cada 
servidor fisico cada afio y costes 
de mantenimiento regular, seria del 
30 por ciento de la inversi6n inicial 
en servidores fisicos, software 
de virtualizacion y soluciones de 
seguridad. 


Asi, usando Trend Micro Deep Security 
para proteger sus entornos de VDI la 
organizacion se ahorra una cantidad 
considerable de dinero a lo largo de 
tres afios. 
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En este capitulo 
Como hacer frente al volumen y la sofisticacion de las amenazas de malware 
Conocer la soluci6n Trend Micro Deep Security 


Proteccion de entornos fisicos, virtuales, en la nube e hibridos 


U na practica recomendable en el ambito de la seguridad es 
usar herramientas de seguridad disenadas al entorno que se 
desea proteger adecuado que sean adecuadas. Con todo, seguin el 
Instituto de Seguridad Informatica en su estudio 2010-2011 Computer 
Crime and Security Survey, sdlo el 20 por ciento de las herramientas 
de seguridad empleadas actualmente en entornos virtuales han sido 
disefiadas para dichos entornos. En este capitulo aprenderas sobre 
las amenazas globales y las soluciones de seguridad compatibles 

con el entorno virtual que Trend Micro ha disenado para proteger 
entornos informaticos virtuales, en la nube e hibridos. 


Proteccion contra amenazas globales 


Hoy en dia, las amenazas Ilegan desde todos los rincones del planeta. 
Tu organizaci6n debe implementar soluciones de seguridad que 
tengan la capacidad de responder eficazmente a las amenazas, 

sin importar su origen. Una solucion de seguridad completa ha de 
tener un alcance global para recabar informaci6n sobre amenazas 

de cualquier lugar y, después, analizarla y responder con rapidez, 

asi como ofrecerte la posibilidad de tomar las medidas necesarias 

y adecuadas para proteger tus sistemas y tu red. 
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BIENCH, 


Un vistazo al paisaje 


Se han dado cambios en el paisaje de las amenazas en dos 
importantes Areas: el volumen y la sofisticaci6n. Para proteger tus 
redes y sistemas de todas esas amenazas necesitas recursos de 
protecci6n mas inteligentes y sdlidos de lo que los productos de 
seguridad tradicionales pueden proporcionarte. Una soluci6n de 
seguridad eficaz no sdlo debe tratar de bloquear las amenazas en 

los limites de la red y sus varios puntos de acceso; también ha de 
posibilitar el seguimiento constante y continuo de todos los sistemas 
informaticos de tu organizaci6n. 


Incremento del volumen 


En la actualidad, se descubren mas de 1500 variantes de amenazas 

de malware cada hora. Eso significa que, posiblemente, los archivos 
de firma y modelo del software antimalware tradicional, a pesar de 
actualizarse con regularidad, se quedan desfasados con rapidez y el 
peligro para servidores y puestos de trabajo aumenta paulatinamente. 


Independientemente del tipo de sistema de seguridad que uses para 
proteger tus plataformas informaticas fisicas o virtuales, si dichos 
sistemas no son capaces de obtener informaci6n sobre nuevas 
amenazas a tiempo, todo tu entorno informatico se encontrara en 
peligro. 


El volumen de malware se incrementa en gran medida debido a la 
accion de hackers de poca pericia (conocidos como script kiddies) 
que lo que hacen es comprar o alquilar kits de malware prefabricado, 
tales como cédigo fuente de virus y botnets, para promover la 
creacién de variantes de malware o para lanzar rapidos ataques de 
fuerza bruta contra las redes. 


Mayor sofisticacion 

También la sofisticaci6n de las amenazas modernas se ha 
incrementado. Ahora las amenazas de malware pueden ir dirigidas 
contra entornos operativos concretos, incluyendo sistemas virtuales 
y en la nube. Las amenazas actuales muestran caracteristicas 
avanzadas como las siguientes: 


~ Nuevos métodos de infeccion: la infecci6n se sirve cada vez 
mas de técnicas como la suplantaci6on de identidad (phishing), 
los sitios de redes sociales y las descargas automaticas 0 no 
seguras. La infecci6n emplea métodos como el cifrado SSL para 
eludir las soluciones de seguridad tradicionales. 


“ Mecanismos de persistencia: los rootkits, los bootkits, las 
puertas traseras y el software contra programas antivirus son 
ejemplos del malware normalmente usado para garantizar que el 
atacante pueda seguir infiltrandose en un sistema o red durante 
mas tiempo una vez se ha producido la infeccién. 
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Técnicas de comunicacion sigilosa: el cifrado, los proxies, el 
salto entre puertos y la tunelizacién son técnicas empleadas 
para mantener la comunicaci6n con otros sistemas infectados, 
permitir el comando y control del malware y la extracci6n de 
informacion valiosa de un sistema o red bajo ataque. 


 Funcion de comando y control: esta funci6n permite al atacante 
controlar, gestionar y actualizar malware para procurarse 
objetivos de ataque especificos. 


jLas amenazas modernas resultan atin mas inquietantes! Por ejemplo, 
una amenaza persistente avanzada (APT, por sus siglas en inglés) 

es un tipo de ataque sofisticado dirigido contra una organizaci6n 

que tiene lugar durante un periodo de tiempo prolongado, a veces 
varios anos, con el fin de robar informacion valiosa y confidencial. 
Estos tipos de ataques normalmente los realizan organizaciones 
ilegales o estados-naci6n corruptos con vastos recursos de pirateria 
informatica. Por ello, debes defenderte no sdlo contra los script 
kiddies, sino también frente a ciberdelincuentes profesionales y 
ciberterroristas. 


Una mirada a la red de proteccion inteligente 


Consciente de que el paisaje de las amenazas ha evolucionado 
rapidamente durante la pasada década, Trend Micro ha desarrollado 
recursos de proteccién proactivos y dinamicos. 


En 2008 Trend Micro cre6 un Sistema de Informacién Global (SIG) 
denominado Smart Protection Network (SPN, red de proteccién 
inteligente) para hacer frente con mayor eficacia al volumen y la 
sofisticacion de las nuevas amenazas en constante evolucion. La 
SPN esta formada por mas de una docena de centros globales, lo 
que permite a Trend Micro descubrir informaci6n sobre amenazas 
y compartirla con sus soluciones de seguridad y, a través de las 
mismas, difundirla, independientemente de su procedencia. 


Eso significa que Trend Micro puede compartir, de manera 
instantanea y global, informacion sobre el ataque de un nuevo 
malware descubierto en cualquier lugar del mundo, sin tener que 
transferir a los dispositivos protegidos ningtin archivo de firma 
actualizado. Esta técnica reduce considerablemente el tamano y el 
numero de los archivos que tus dispositivos necesitan. Asimismo, si 
se descubre una nueva amenaza en uno de los mas de 160 millones 
de dispositivos protegidos por las soluciones de Trend Micro, la 
informacion critica sobre dicha amenaza estara a disposici6n, casi al 
instante, de los clientes de Trend Micro de todo el mundo, con lo que 
se proporcionara protecci6on antes de que los sistemas y dispositivos 
se encuentren en peligro. Olvidate de la protecci6n de dia cero. jEsto 
es protecci6on de minuto cero! 
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La SPN guarda una base de datos de gran reputaci6n con fuentes 

de correo electrénico, sitios web y uso compartido de archivos. 

Si un mensaje electrénico, un sitio web o un archivo proceden de 

una fuente maliciosa sospechosa 0 conocida, la SPN puede evitar 

el acceso al mismo, asi como su descarga 0 apertura, y bloquear la 
fuente. Igualmente, la SPN busca activamente y registra todo tipo de 
vulnerabilidades y analiza la reputacién de las aplicaciones méviles, 
ya que cada vez mas malware es enviado mediante estas aplicaciones. 
Ademas, Trend Micro cuenta con mas de 1200 investigadores que 
analizan activamente las amenazas, las rastrean y comprueban qué 
es lo que tratan de hacer. Dicha informaci6n es compartida con los 
usuarios finales a través de la SPN. Trend Micro también responde a 
las peticiones de asistencia de organizaciones que hayan descubierto 
o sospechen de la existencia de una nueva amenaza en su red. Tras 
analizar la amenaza, Trend Micro puede desarrollar un archivo de 
firma para detectarla y bloquearla, lo cual beneficia a la organizaci6n 
y a toda la base global de clientes de Trend Micro, a través de la SPN 
(ver diagrama 4-1). 


Recaba 


SOLUCION 


GLOBAL 
CONTRA AMENAZAS 


Identifica 


Protege 





Diagrama 4-1: la SPN de Trend Micro proporciona soluciones globales contra 
amenazas de malware nuevas y ya existentes. 


Disetto de la seguridad para entornos virtuales 


Los productos de seguridad tradicionales disefados slo para los 
entornos fisicos tienen una eficacia limitada en entornos virtuales, 

en la nube y en los hibridos (una mezcla de entorno fisico, virtual 

y/o en lanube). Dichos productos de seguridad normalmente no 
pueden manejar un gran volumen de amenazas 0, en el caso de las 
herramientas de seguridad que han de implementarse en un segmento 
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de red fisica, puede que simplemente se desvien. Ademas, debido a 
problemas de conflicto de recursos (explicados en el Capitulo 2), los 
productos de seguridad tradicionales no compatibles con el entorno 
virtual pueden originar lo que basicamente constituye un ataque 

auto dirigido por denegaci6n de servicio al superar la capacidad 

de una aplicaci6n virtual, o basada en la nube, para responder a 

las peticiones de un usuario u otro sistema. El recurso de cargar los 
sistemas individuales (ya sean puestos de trabajo o servidores, fisicos 
0 virtuales) con grandes archivos de firma es simple y llanamente 
ineficaz contra las amenazas actuales que se hayan en rapida y 


eRDA constante evoluci6n. 
* Para proteger por completo tu entorno informatico, una solucion de 


seguridad debe proteger tanto tus sistemas como tus datos. 


Trend Micro Deep Security es una solucién de seguridad compatible 
con el entorno virtual (ver diagrama 4-2), sin agente o basada en 
agente, que protege los sistemas y los datos. Deep Security tiene 

un diseno modular con una serie de componentes clave que 
proporcionan recursos de protecci6n para entornos virtuales y en la 
nube, asi como para entornos fisicos tradicionales y mixtos. El disefio 
modular de Deep Security ofrece al cliente la posibilidad de anadir 
componentes individuales, segin sea necesario, para cumplir con los 
requisitos corporativos y normativos. Entre dichos componentes se 
incluyen los siguientes: 


 Antimalware: protecci6n, sin agente o basada en agente, contra 
malware que emplea la SPN de Trend Micro (como se explica 
en la secci6n “Una mirada a la red de protecci6n inteligente”) 
para proporcionar protecci6n en tiempo real frente a amenazas 
de malware conocidas y de dia cero sin que haya que descargar 
grandes archivos de firma 0 realizar andlisis intensivos del 
sistema. 


 Cortafuegos para aplicaciones: este modulo ayuda a reducir la 
superficie de ataque de una aplicaci6n virtual, supervisa la VM 
en busca de ataques por denegacion de servicio (DoS) y realiza 
andlisis de reconocimiento. El cortafuegos para aplicaciones 
puede también proteger una VM recién creada (o una VM 
inactiva que esta poniéndose en funcionamiento). 


Supervision de integridad: el seguimiento de integridad 
de archivos ofrece la posibilidad de gestionar el acceso a 
directorios y archivos determinados y detectar cambios 
maliciosos o no autorizados en los directorios, archivos o 
incluso las claves del registro. El seguimiento de integridad 
puede ser implementado en una tinica aplicacién virtual, 
quiza para proteger datos especificos, tales como informacion 
financiera confidencial, de titulares de tarjetas de pago o 
informacion sanitaria privada. 
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iY Sistemas de detecci6n y prevencién de intrusiones (IDS/IPS): 
los IDS/IPS pueden detectar y bloquear los ataques conocidos y 
de dia cero que se dirijan contra las vulnerabilidades del sistema 
y el software. Deep Security se vale de la SPN de Trend Micro 
para obtener actualizaciones dindmicas e instantaneas sobre la 
reputaci6n de determinadas direcciones URL, como por ejemplo 
un enlace en un mensaje electrdénico o documento. 


Registro: este componente (solamente disponible como agente 
instalado en VM individuales) ofrece recursos exclusivos para 
recoger, alertar y registrar el trafico especifico de seguridad 
y optimizar la identificaci6n de problemas de seguridad 
importantes que a menudo quedarian soterrados en un sistema 
de registro tradicional. 


YY Cifrado: el cifrado puede proporcionar proteccién total a los 
datos, sea cual sea su ubicacion. También ofrece un servidor 
de directivas para establecer reglas de acceso a informacién 
especifica y alertar sobre actividad no autorizada. Estas 
funciones se ubican en un sistema bajo tu control que también 
alberga las claves para cifrar o descifrar datos, con completos 
recursos de auditoria para ayudar a tu organizaci6n a cumplir 
con una variedad de reglas. Estas funciones te permiten utilizar 
la informatica en la nube de forma segura, ya que tienes control 
total del estado de tus datos y del acceso a los mismos. 


Cada uno de estos componentes de Deep Security puede ejecutarse 
en las VM individuales, a modo de agente, en una variedad de 
infraestructuras virtuales entre las que se incluyen VMware, Microsoft 
y Citrix, por nombrar algunas. 


En un entorno de VMware, Deep Security puede ejecutarse como 
una soluci6n basada en agente instalado en VM individuales 0 a 
modo de aparato virtual sin agente que se ejecuta directamente en 
las maquinas anfitrionas fisicas del entorno virtual. Trend Micro Y 
VMware colaboraron en el desarrollo de un conjunto de APIs en el 
ecosistema de VMware. Usando los enlaces de esas APIs, el aparato 
virtual de Deep Security puede ver todo el trafico que circula en el 
hipervisor y entre las maquinas virtuales de la maquina anfitriona 
fisica, lo que por norma general te permite lograr una densidad de VM 
por maquina anfitriona fisica mayor que la que puede lograrse con 
una soluci6n basada en agente. 


Los agentes de Trend Micro Deep Security son compatibles con el 
entorno virtual, por lo que no colapsan los recursos informaticos 
de dichos entornos y no impiden a las aplicaciones acceder a esos 
recursos. 
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Diagrama 4-2: soluciones compatibles con el entorno virtual, sin agente y 
basadas en agente, de Trend Micro Deep Security. 

















En un entorno virtual, el hipervisor es la red de una maquina 
anfitriona fisica: cada una de las VM de la maquina anfitriona y 

sus aplicaciones se comunican con el hipervisor y a través del 
mismo. La comunicaci6n entre maquinas virtuales permite a las VM 
comunicarse con otras VM (trafico de este a oeste), asi como con el 
mundo exterior (trafico de norte a sur). La inspecci6n exhaustiva de 
paquetes te permite buscar comportamientos anédmalos que pueden 
ser indicativos de una nueva amenaza 0 ataque. Por ejemplo, un 
ataque DoS (por denegacién de servicio) dirigido contra aplicaciones 
especificas —quiza una aplicaci6n orientada al exterior—- puede 
paralizar todas las demas VM y aplicaciones de la maquina anfitriona 
fisica. 


Es fundamental poder supervisar e inspeccionar el trafico entre 
maquinas virtuales para bloquear las amenazas que una VM afectada 
pueda dirigir contra otras VM de su mismo anfitrion fisico. Para 
supervisar las amenazas de un entorno virtual, se debe supervisar el 
trafico que llega a cada VM a través del hipervisor. 


<0 La nica manera de supervisar eficazmente el trafico entre maquinas 
virtuales y reaccionar ante las amenazas (ya sea individualmente con 
cada VM o tomando el anfitridn fisico en su conjunto) es a través de 
un aparato de seguridad virtual, sin agente o basado en agente, que 
también esté alojado en la maquina anfitriona. 


Oy 
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Proteccion de todos los aspectos 
del entorno informatico 


D, 
opek A 


CF 


Es fundamental contar con soluciones de seguridad disenadas 
especificamente para proteger tus entornos virtuales y en la nube, 
pero también hay que proteger los entornos fisicos, como servidores, 
puestos de trabajo (ordenadores de sobremesa y portatiles, 

tabletas y teléfonos inteligentes) y ciertas aplicaciones. Hoy en dia, 
todas las actividades de un ecosistema informatico se extienden a 
plataformas de todo tipo, viajan por sendas desconocidas y necesitan 
una seguridad que sea adecuada para todos esos dispositivos, 
aplicaciones y actividades. En el entorno informatico moderno actual 
hay que protegerlo todo (aplicaciones, sistemas o informacion), 
aunque no necesariamente al mismo nivel. 


Un plan de clasificaci6n de datos ayuda a las organizaciones a asignar 
valores a sus activos de informacién segin lo sensibles que sean 

ala pérdida o a la divulgaci6n de datos. Un plan de ese tipo puede 
también determinar el nivel de protecci6n adecuado. Los planes 

de clasificaci6n de datos pueden ser obligatorios para cumplir con 
normativas u otro tipo de requisitos. No es practico ni deseable 
aplicar una unica protecci6n estandar a toda la informacion de tu 
organizacion. 


La soluci6n Trend Micro Deep Security protege los entornos de los 
centros de datos fisicos y virtuales, asi como los modelos de nube 
publicos y privados y los entornos mixtos fisicos/virtuales/en la nube 
(ver diagrama 4-3). Trend Micro también ofrece Deep Security como 
un servicio que proporciona la opcidén de un modelo de seguridad 
“segan demanda” para aquellas organizaciones que usan la nube 
publica para todos o algunos de sus sistemas y aplicaciones. 
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Diagrama 4-3: Trend Micro Deep Security protege los entornos fisicos, virtuales, 
privados y publicos, asi como aquellos hibridos. 








Ahorro y seguridad reales con soluciones 
compatibles con el entorno virtual 


Cuando utilizas soluciones maquina anfitriona y reducir 
de seguridad que han _ sido potencialmente los costes de las 
especialmente disefiadas para licencias (por ejemplo, las de los 
un entorno determinado, como el preprocesadores de Windows 
virtual, los beneficios (calculados Server Datacenter Edition y 
en términos de aprovechamiento y VMware). 


eficiencia operativa) pueden superar 
con creces el coste de dicha soluci6n. 
Los siguientes son algunos ejemplos 
de ese ahorro: 


Hardware, espacio fisico, 
energia: poner en marcha 
mas VM en cada maquina 
anfitriona puede reducir la 











 Licencias: una solucién de necesidad de mas hardware para 
seguridad compatible con servidores y la huella ecolégica 
el entorno virtual emplea de tu centro de datos. Si se 
funciones de la infraestructura gestiona adecuadamente, una 
virtual, tales como la gestién infraestructura virtual puede 
de recursos, que te permiten reducir también el gasto de 
incrementar la densidad de las recursos energéticos como la 
maquinas virtuales (VM) en cada electricidad y la ventilacion. 

(continuaci6n) 
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Gestion: a menos servidores 
fisicos, menos trabajo de 
gestion. Incluso en situaciones 
que requieren usar una sola 
VM en una maquina anfitriona, 
al poder gestionar tus VM y tus 
servidores fisicos con las mismas 
herramientas de seguridad 
compatibles con el entorno 
virtual, se simplifica enormemente 
la gesti6n de tu centro de 
datos. También se reduce el 
peligro de nuevas amenazas o 
vulnerabilidades debido a errores 
de configuraci6n derivados de la 
complejidad. 


 Nube: Ya que cada vez mas 
Organizaciones' trasladan 
sus sistemas y aplicaciones 
empresariales importantes a 
la nube, se deben hacer frente 
los retos de la seguridad en 
la nube. No es posible hacer 
funcionar aparatos de seguridad 
fisicos en la nube, por lo que 
muchas organizaciones deben 
confiar en su proveedor de 
servicios de nube para cubrir 
sus necesidades de seguridad. 
Este hecho por si solo conduce 
a muchas organizaciones a 
retrasar el traslado a la nube 
O a renunciar por completo a 
cualquier iniciativa en la misma. 


Sin embargo, las soluciones 
de seguridad disefadas para 
el entorno virtual que, por su 
naturaleza, son en si mismas 
virtuales, pueden ser usadas en 
la nube. En otras palabras, los 
sistemas y aplicaciones dela nube 
pueden ser gestionados con las 
mismas soluciones de seguridad 
empleadas a para gestionar los 
sistemas y aplicaciones virtuales 
del centro de datos. 


Cuando las organizaciones utilizan 
soluciones de seguridad compatibles 
con el entorno virtual, normalmente 
las densidades de consolidacién de 
las VM olos escritorios de VDI pueden 
ser hasta tres veces mayores que las 
que se logran con herramientas de 
seguridad tradicionales. 


Obviamente, esto puede calcularse 
de manera sencilla con un analisis de 
ahorro de costes. Al ser mas eficaces 
que las herramientas de seguridad 
tradicionales y estar disefiadas 
para protegerse automaticamente, 
las soluciones de seguridad para 
el entorno virtual eliminan las 
vulnerabilidades exclusivas de los 
entornos virtuales a las que los 
productos tradicionales de seguridad 
no pueden hacer frente. 
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Capitulo 5 


Diez funciones importantes 
que hay que buscar en 
una solucion de seguridad 
consciente del entorno virtual 





En este capitulo 


Evaluaci6n de las soluciones de seguridad para el entorno virtual 


Prose los entornos virtuales y en la nube no es tan simple 
como dar un retoque a los ajustes de andlisis y actualizaci6n 
de los programas antivirus/antimalware tradicionales. Si actiias 
asi, no estas teniendo en cuenta el hecho de que los entornos 
virtuales son muy diferentes a los fisicos. Para tratar esas 
diferencias de modo eficaz has de utilizar soluciones de seguridad 
disenhadas para funcionar en entornos virtuales; no debes tratar 
de reasignar los programas de seguridad que ya tienes, pues no 
resultan eficaces en el mundo virtual. 


Aqui tienes una lista de las principales funciones que hay que 
buscar en una soluci6n de seguridad para el entorno virtual: 


 Funciona en entornos mixtos. Opera en entornos fisicos, 
virtuales y en la nube, usando instalaciones sin agente y 
basadas en agente. 

 Gestiona servidores y escritorios mediante una interfaz 
tnica. Gestiona los servidores y los escritorios, ya sean 
fisicos o virtuales, por medio de una Unica consola de control. 


 Ajusta automaticamente el uso de recursos. Se ajusta 
automaticamente al entorno en el cual es implementada 
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(especialmente si es virtual) para que los niveles de 
rendimiento no se vean afectados por la soluci6n de 
seguridad. 


 Migra con sistemas virtuales. Las protecciones de seguridad 
migran de forma dinamica junto alas VM entre maquinas 
anfitrionas fisicas o en la nube. 


 Ofrece las funciones complementarias necesarias. Utiliza 
solo las funciones requeridas por tu entorno y agrega 
otras nuevas a medida que tus requisitos de seguridad 
evolucionan, sin tener que volver a implementar o configurar 
la solucion de seguridad completa. 


Protege las VM inactivas. Las VM inactivas pueden ser 
iniciadas con rapidez en un entorno virtual. Si no es analizada 
y protegida adecuadamente antes de ser puesta en linea, una 
VM inactiva puede exponer a todo tu entorno virtual ante 
amenazas de seguridad. 


Registra la informaci6n de seguridad relevante. Un sistema 
de registro especifico para operaciones de seguridad (ya sea 
en un entorno fisico, virtual o en la nube) ofrece la posibilidad 
de recabar informacion relevante sobre actividades que 
puedan estar asociadas a una amenaza, gracias a lo cual 
el analisis puede centrarse en una menor cantidad de 
contenidos. 


Filtra los sistemas a los que no se han aplicado parches. 
Protege mediante un filtro aquellos sistemas a los que no se 
han aplicado parches contra vulnerabilidades conocidas. 
Filtra también sistemas mas antiguos que puede que ya 
no reciban asistencia por parte del fabricante o sistemas y 
aplicaciones personalizados, valiéndose de filtros que puedes 
crear para protegerlos frente a vulnerabilidades conocidas. 

 Aplica reglas y perfiles de gestién de la configuraci6n 
minima de seguridad. Extiende automaticamente las reglas 
y los perfiles de gestion de la configuraci6én de seguridad a 
nuevos anfitriones y sus VM, sin tener que volver a configurar 
los sistemas a cada inicio. Con el establecimiento de una 
configuracion de seguridad de referencia, los sistemas que 
requieran medidas de seguridad adicionales pueden ser 
tratados mas eficazmente, en funci6n de las necesidades.. 


 Cumple con los requisitos normativos. Proporciona médulos 
de seguridad complementarios disefiados para cumplir con 
requisitos normativos especificos, tales como el PCI, en un 
entorno virtual 
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adware: software malicioso que publicita programas, a 
menudo por medio de pancartas y ventanas emergentes. 


agente de seguridad (SA): componente de software que 
se instala en un servidor u ordenador de sobremesa y 
desempenia una funcion de seguridad especifica, como la 
protecci6n contra malware o la deteccion de intrusos. 


amenazas: eventos y condiciones que en caso de darse 
suponen un peligro para sistemas y datos. 


APT (amenaza persistente avanzada): ataque prolongado que 
se lanza desde Internet normalmente por parte de un grupo 
con importantes recursos, como delincuentes organizados o 
naciones-estado corruptos. 


autenticaciOon: el proceso de verificaci6n de la identidad de 
un usuario, ordenador o servicio. 


bomba légica: software que realiza una acci6n maliciosa al 
cumplirse una condici6n predeterminada, como una fecha o 
una calculo especifico. 


bootkit: software malicioso, variante del rootkit, que se usa a 
menudo para atacar un disco duro cifrado. 


bot: maquina a la que se le ataca e infecta con malware y 
forma parte de un botnet (se conoce también como zombi). 


botnet: red amplia de bots que funcionan conjuntamente. 


Bring Your Own Device (BYOD): la tendencia “trae tu propio 
dispositivo” permite a los empleados usar sus teléfonos 
inteligentes, tabletas y otros dispositivos informaticos en el 
centro de trabajo para su uso tanto personal como laboral. 
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consumerizacion: tendencia actual segtn la cual los usuarios 
pueden encontrar cada vez mas productos tecnoldogicos y 
aplicaciones personales que resultan mas potentes 0 capaces, 
mas practicos, menos caros, mas rapidos de instalar y mas 
faciles de usar que las soluciones informaticas corporativas. 
Ver también BYOD. 


defensa a fondo: estrategia para proteger la informaci6n 
mediante multiples capas de defensa. 


entorno de sistema operativo (OSE): sistema operativo 
de servidor o de escritorio que constituye un sistema 
informatico completo y se ejecuta en un entorno virtual o 
fisico. 


gusano: software malicioso que se reproduce con rapidez de 
un ordenador a otro a través de redes, sin que el usuario final 
necesite que realizar acci6n alguna. 


hipervisor: componente principal de una capa de la 
plataforma de una infraestructura virtual que permite 
comunicarse a dos maquinas virtuales y gestiona el uso de 
recursos entre las maquinas virtuales y la maquina anfitriona 
fisica. 


infraestructura de escritorio virtual (VDI): sistema operativo 
de escritorio situado en una maquina virtual que proporciona 
un escritorio virtual a los usuarios finales desde un servidor 
fisico centralizado. 


integridad de datos: exactitud y coherencia de la informaci6n 
durante su creacion, transmision y almacenamiento. 


malware: software 0 cddigo malicioso que generalmente dana 
o inutiliza un sistema informatico, se hace con el control del 
mismo o le roba informacion. Ver también: adware, puerta 
trasera, bootkit, bomba légica, rootkit, spyware, troyano, 
virus y gusano. 


maquina virtual (VM): simulaci6n mediante software de un 
ordenador fisico (por ejemplo, un servidor o un ordenador de 
sobremesa) que incluye un sistema operativo y aplicaciones. 
Se conoce también como maquina invitada. 
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phishing: utilizaci6n de técnicas de ingenieria social a través 
del correo electrénico para hacer que los usuarios faciliten 
informaci6n personal. 


puerta trasera: software malicioso que permite a un atacante 
saltarse los mecanismos de autenticaci6n para acceder sin 
autorizacion a un sistema o una aplicaci6on. 


rootkit: software malicioso que facilita el acceso privilegiado 
aun ordenador (por ejemplo, mediante el uso de permisos de 
administrador o de nivel de raiz). 


seguridad compatible con el entorno virtual: software de 
seguridad con capacidad de detectar si esta ejecutandose en 
un entorno virtual y adaptar su funcionamiento de tal modo 
que el resto de aplicaciones de una maquina virtual cuente 
con los recursos suficientes para rendir como se espera. 


sistema de deteccién de intrusiones (IDS): aparato de 
hardware o agente de software que detecta y notifica las 
presuntas intrusiones en redes o anfitriones. 


sistema de prevencion de intrusiones (IPS): aparato de 
hardware o agente de software que detecta y bloquea las 
presuntas intrusiones en redes o anfitriones. 


spyware: también conocido en espanol como programa espia, 
es un software malicioso que recopila informacion sobre el 
uso de Internet o los datos privados de un usuario. 


troyano: Se trata de un malware que se hace pasar por un 
programa de confianza, pero que en realidad desempena otras 
funciones. 


virus: software malicioso que se incrusta en otro programa 
(por ejemplo, al archivo adjunto de un mensaje electrénico) 
y requiere de una accion por parte de un usuario final (como 
abrir un archivo adjunto) para reproducirse. 


vulnerabilidad: ausencia o debilidad de proteccién de 
un sistema o aplicaci6n que hace que una amenaza sea 
potencialmente mas dafiina 0 costosa, que haya mas 
posibilidades de que ocurra 0 que ocurra con mayor 
frecuencia. 
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